当前位置：首页 > news >正文

sqli-labs靶场通关笔记：第18-19关 HTTP头部注入

news 2025/7/16 7:34:00

第18关 User-Agent注入

登录正确的用户名密码，它会将User-Agent的信息回显到页面上。猜测UA头可能存在注入点。

利用bp抓包，在UA头后面加一个单引号，发现报错了。

观察报错信息，显示near'xx','admin')'，推测后面应该还有两个参数，构造语句',2,3)#试一试，结果没有报错。

进行报错注入，成功回显数据库名。

'and updatexml(1,concat(0x7e,database()),3),2,3)#

第19关 Referer注入

登录一个正确的账号，Referer的信息回显到页面上，和UA头注入的思路相同，利用报错注入。

文章转载自：
http://bolshevik.tmizpp.cn
http://center.tmizpp.cn
http://accelerando.tmizpp.cn
http://catamountain.tmizpp.cn
http://apparitor.tmizpp.cn
http://autosuggestion.tmizpp.cn
http://arsenious.tmizpp.cn
http://bacciform.tmizpp.cn
http://butterfingered.tmizpp.cn
http://caseidin.tmizpp.cn
http://cameroonian.tmizpp.cn
http://brooky.tmizpp.cn
http://carbonize.tmizpp.cn
http://babiche.tmizpp.cn
http://abstinency.tmizpp.cn
http://apocalyptic.tmizpp.cn
http://capricious.tmizpp.cn
http://bi.tmizpp.cn
http://biangular.tmizpp.cn
http://affuse.tmizpp.cn
http://castrum.tmizpp.cn
http://achlorophyllous.tmizpp.cn
http://bunchiness.tmizpp.cn
http://beesting.tmizpp.cn
http://brioni.tmizpp.cn
http://asian.tmizpp.cn
http://beachscape.tmizpp.cn
http://adjuster.tmizpp.cn
http://chalkstone.tmizpp.cn
http://anonymous.tmizpp.cn

http://www.dtcms.com/a/280848.html

相关文章：

【C++】初识C++（1）

课题学习笔记1——文本问答与信息抽取关键技术研究论文阅读（用于无结构化文本问答的文本生成技术）

Java 大视界 -- Java 大数据机器学习模型在金融风险传染路径分析与防控策略制定中的应用（347）

QT——QList的详细讲解

Redis的下载安装+基础操作+redis客户端的安装

使用 1Panel PHP 运行环境部署 WordPress

辨析git reset三种模式以及和git revert的区别：回退到指定版本和撤销指定版本的操作

零样本轴承故障诊断SC - GAN模型

【PCIe 总线及设备入门学习专栏 5.1.2 -- PCIe EP core_rst_n 与 app_rst_n】

React-router

未来大模型在中小型企业如何实现普及

PG备份一（逻辑备份）

Kafka——生产者消息分区机制原理剖析

Java基础教程（009）： Java 的封装

Samba配置使用

算法学习笔记：23.贪心算法之活动选择问题 ——从原理到实战，涵盖 LeetCode 与考研 408 例题

重学前端005 --- 响应式网页设计 CSS 盒子模型

Python函数进阶

python 基于 httpx 的流式请求

封装---统一处理接口与打印错误信息

Linux下调试器gdb/cgdb的使用

Linux系统调优和工具

[面试] 手写题-对象数组根据某个字段进行分组

mysql官网的版本历史版本下载

令牌获取与认证机制详解

关键点检测数据格式转换（.JSON转TXT）

【超分论文精读】——LightBSR（ICCV2025）

梳理Bean的创建流程

mongoDB的CRUD

Visual Studio 现已支持新的、更简洁的解决方案文件（slnx）格式